在软件供应链基础管理审计中开展研究型审计的实践探索

[摘要]深入开展研究型审计是实现审计事业高质量发展的必由之路。本文详细阐述了研究型审计在审前、审中和审后三个阶段具体做法，包括聚焦核心风险，优化审计方法，深入业务本质，挖掘共性成因，提出针对性审计建议等关键环节；并结合软件供应链基础管理审计的实践案例，剖析了研究型审计如何有效促进企业的高质量发展，并从中提炼出可供借鉴的经验和启示，旨在为内部审计工作提供有益参考。

[关键词]研究型审计" "软件供应链" "审计实践

一、研究型审计研究方向及主要内容

2023年5月，习近平总书记在二十届中央审计委员会第一次会议中指出：“坚持依法审计，做实研究型审计，发扬斗争精神，增强斗争本领，打造经济监督的‘特种部队’，把问题查准、查深、查透”。这一指示强调了研究型审计在提升审计质量、深化审计监督中的关键作用，要求审计人员在实践中不断探索和创新，以适应新时代审计工作的需要。

研究型审计注重全局、科学、系统地谋划，研究剖析问题表象，深入挖掘问题的本质成因，能够切实推动问题解决，提出建设性意见。研究型审计的总要求是坚持系统观念，运用研究思维，以问题为导向，对审计对象、审计环境及审计项目全过程进行系统的调查研究，推动审计工作进一步提高政治站位，明确政策方向，增强审计监督针对性，提高审计质量效率和水平，更好发挥审计监督作用。

（一）审前阶段，围绕制订科学的审计方案开展研究

1.研究相关政策，把握审计核心立意。主要涉及审计领域与审计对象的相关宏观政策法规探讨、国家及行业标准分析，以及企业战略研究三个部分。一是通过深入剖析审计领域与对象的相关宏观政策法规、规划、上级监管要求，能够精确识别当前宏观政策与监管的普遍问题及发展趋势，为后续审计工作提供指导。审计人员应全方位搜集并整理与国家宏观政策、法规、规划及上级监管要求相关的信息，深入学习国家层面的政策要求。同时，深入研究宏观政策、改革方向及法律法规，把握重大决策部署的出台背景、战略意图、改革目标等根本性和方向性问题，紧跟审计领域政策理论及前沿研究动态，不断提升审计工作的政治性和前瞻性。此外，还应结合上级监管要求、发展趋势和动态，深入思考背后的政策背景、战略考虑和实践要求，评估和分析当前宏观政策、监管要求与公司发展战略的关联程度。围绕审计领域和审计对象的业务特征，识别现阶段的政策和监管重点，为开展研究型审计奠定坚实基础。二是研究并参照审计领域和审计对象的相关国家、行业标准，吸收优秀实践经验，揭示潜在不足。三是深入研究企业战略的出台背景、目标和关键领域，精准定位业务管理需要重点关注的领域，及时开展审计监督。审计人员应获取被审计单位的相关发展战略规划，紧密围绕公司转型升级和改革创新的重点领域，关注公司发展的热点、堵点。

2.深度分析经典案例，归纳识别核心风险。主要针对审计领域及审计对象的关键风险问题与重点案例线索展开研究，包括对历年项目回顾研究以及典型案例研究的深入探讨。一方面，通过回顾过往同类审计项目，归纳总结审计发现的普遍性问题，从服务发展大局和提高治理水平的视角，分析审计领域和对象的业务管理持续存在的风险隐患和整改情况，挖掘相关问题线索。另一方面，通过行业和内部的典型案例分析，聚焦主要风险，从微观视角全面剖析风险敞口和风险链条。

3.逐级比对管理制度，严格把关落实情况。通过系统化梳理审计领域和审计对象的相关管理制度，明确管理要求。首先，全面收集集团下发、省（分）公司发布的与审计领域和对象相关的制度，明确集团制度要求，梳理省公司制度，形成审计制度库。其次，将相关制度与国家政策、标准要求相对照，发掘审计领域中的制度性漏洞。再次，对比分析省（分）公司制度与集团公司制度，梳理省（分）公司未按照集团要求制定或细化相关制度要求的情况，挖掘管理制度方面的不足。最后，为避免陷入围绕制度而谈制度的问题，需结合宏观层面研究状况、审计领域业务实际管理现状和未来趋势，分析制度制定是否符合实际情况，并具备引导业务高质量合规发展的特点。

4.全面摸排工作现状，促进审计数字化转型。重点结合业务特征研究审计领域和审计对象的发展现状和未来趋势。首先，审计人员应梳理审计领域和对象的管理流程，确定关键管理环节和主要责任人。其次，研究被审计单位的风险管控措施，优先梳理被审计单位针对固有风险所采取的风险管控措施，评价其设计有效性和执行有效性。最后，通过识别固有风险和已控制风险，总结剩余风险敞口，即未被管理或未被有效控制的风险，作为后续审计的关注重点。此外，现状摸排研究应注重方法论，深化数据采集和分析管理，积极实践数字化审计方式，全面调查梳理审计对象，多途径多方式开展审前数据采集，促进审计工作从现场审计为主向后台数据分析和现场审计并重转变。

5.聚焦核心风险，制订审计实施方案。在制订审计实施方案的过程中，一要找准政策锚点，聚焦核心风险。以聚焦核心风险为出发点，确保每一项工作都紧密围绕审计目标展开。具体而言，需要根据前述研究，聚焦政策、战略本身及其落地过程中的重点、热点、难点，锚定更加典型、更具有针对性、更亟待解决的问题方向，这样才能确保审计实施方案的目标明确、重点突出，从而更好地指导后续审计工作的开展。二要立足实际情况，科学制订方案。通过综合研究，结合明确的审计目标和重点，科学制订审计实施方案。方案内容应当包括但不限于审计目标、范围、重点、方法步骤、组织方式、审计框架、资料需求明细等。这些内容的制订需要充分考虑被审计单位或项目的实际情况，确保方案的可行性和有效性。同时，还需要在方案制订过程中充分考虑各种可能出现的情况和风险点，并制订相应的应对措施，以确保审计工作的顺利进行。

（二）审中阶段，聚焦提高审计质效开展研究

1.创优方式方法，确保查深查透，力求“提质增效”。

优化审计方法，开展数智审计。审中阶段应当注意选取适当的审计程序和方法，选择相对有效、便捷和经济的路径。根据审计项目类型特点，可以搭建相关的审计模型进行数据分析，及时讨论审计模型的应用范围和适用性。同时结合项目实际，积极应用提升审计效率和质量的技术、工具和方法，研究适配“现场+远程+云化”要求的集中数智审计模式。

深入业务本质，上下结合审查。应当围绕审计目标、审计事实，反复审视取证资料，聚焦重大风险，充分了解被审计单位的发展状况、内部控制及其执行情况，准确定位问题根源和责任人，分析研判主要特征、突出问题、重大风险，针对具体事项和问题，要做到证据完备、事实清楚、定性准确、建议可行。首先，“以上看下”找差距，从政策、战略和制度落地的关键点看执行中存在的差距和原因。其次，“以下看上”找困难，对下级难以执行的困难之处，从上级设计层面找问题根源，推动重大决策部署顺畅执行。最后，纵向总结，横向贯通，对查出问题进行综合研判，既要纵向归纳提炼具有苗头性、倾向性、普遍性的问题以及典型个案、局部问题，也要横向贯通分析各业务管理部门的问题，打通横向问题堵点。

把控审计质量，提高审计效率。“提质增效”是研究型审计的重要目标之一。在提质方面，研究型审计注重提升审计工作的专业性和精准性，通过深入分析审计对象的业务特点、风险点以及潜在问题，制订出更具针对性的审计计划和方案，从而提高审计工作的质量和效果。在增效方面，研究型审计通过优化审计流程、提高审计效率、减少审计资源浪费等方式，实现审计工作的快速高效推进，进一步提升审计工作的整体效益。

2.积极沟通反馈，挖掘共性成因。

加强沟通交流，多方获取信息。为了更全面地发现问题，审计人员应当积极主动与被审计单位相关人员沟通，从而能够广泛听取各方面意见，深入了解问题产生的深层次原因，尤其要对被审计单位的反馈意见认真研究，站在不同角度审视这些问题和结论，必要时还应当征求监管部门等外部专家意见。

逐层解构问题，把握共性成因。为了更精准地揭示问题、更高效地解决问题，审计人员应当由表及里更深入地剖析原因，从而推动问题标本兼治。审计人员应当透过现象看本质，通过成因层层解构，明确问题产生的原因、过程。问题的成因主要有直接原因、深层原因、根本原因三个层次。直接原因通常指的是导致事件发生的近期的、直接的诱导性因素，是时间关系或逻辑关系上最为接近的因素，直接原因往往与制度设计和流程、机制原因等制度因素相关；深层原因指与事物有关的多种原因中起决定性作用的原因，是直接原因的进一步深化和具体化，深层原因可能涉及能力建设等各个方面，它们对事件的发展起到了更为关键的作用；根本原因则是导致事物发生变化的根源或者最本质的原因，通常隐藏在深层原因之后。根本原因常常涉及更为宏观、更为长远的因素，如风险合规意识、企业文化建设等。通过问题成因分析，审计人员可以更完整地掌握被审计单位的体制性障碍、机制性缺陷、制度性漏洞、管理性松软、执行性偏差等情况。

（三）审后阶段，以高质量审计成果为核心开展研究

1.严把审计报告质量关，促进项目整改提升。

全面总结成果，提升报告质量。研究型审计报告不仅要关注企业的合规性，还应注重企业的内部运营、风险管理、绩效评估和战略规划等方面。从总体上研究分析审计发现问题的规律、趋势、特征以及重要性程度，为被审计单位精准画像。研究型审计报告应当系统梳理问题，多角度、多层次的归纳、提炼审计发现问题，分清问题的主次，揭示问题的本质，力求视角全面、重点突出、分析有力，对审计事项作出全面、恰如其分的反映。

做好审后管理，督促部门整改。重视审后阶段问题整改也是研究型审计与传统审计的主要区别之一，研究型审计把审计整改作为研究的关键点，推进审计整改，促进审计质效提升。一是要明确整改要求，加强审计成果的横向、纵向总结提炼，预先研究整改效果，提出具体整改意见，明确审计整改措施、标准和整改要求，关注整改的有效性、长效性。二是在督促整改提升过程中，将相关问题纳入被审计单位审计成果库，实行动态管理机制，确保问题整改到位，审计成果落到实处。

2.提出针对性审计建议，沉淀审计成果。

提出审计建议，聚焦重点问题。发现问题、分析原因都是为了更好地解决问题，研究型审计要求结合问题成因分析情况，在摸准问题情况和吃透政策的基础上，提出有针对性的对策建议，形成长效机制。一方面针对普遍共性问题，可从治理层面提出体系化的管理提升建议为战略决策提供依据，发挥审计的建设性作用；另一方面针对典型个性问题，可从执行层面提出落地性的整改举措建议，聚焦公司重点领域和问题，做好问题分类处置，针对问题性质提出分类移送意见。

沉淀审计成果，总结审计方法。审后阶段审计人员还应当注重审计成果的沉淀与转化。首先，应当注重项目积淀，积累项目政策法规、行业标准、制度规范等审计文档库，持续积累在多项目中运用。其次，从审计背景、审计线索、解决办法等方面认真回顾梳理，对审计过程中的方法思路、信息化审计技巧、疑难问题突破等方面进行归纳。最后，总结提炼优秀成果、审计方式方法、审计技术、工具等，在实践中不断固化和优化，持续加以运用，做到“一审多果”“一果多用”。

二、研究型审计下开展软件供应链基础管理审计的实践

习近平总书记在党的二十大报告中强调，推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定。软件供应链安全是国家安全的重要组成部分，也是推动企业高质量发展的重要基础，因此备受国家和行业的关注。

中国移动内审部始终站在党和国家工作支持者的立场上，在集团全部单位开展软件供应链基础管理审计，检查已有软件供应链相关管理领域的各项要求执行情况，以提高中国移动网络与信息安全整体水平，为公司健康发展筑牢根基。云南移动内审部和中国信息通信研究院的专家组成审计组，结合研究型审计方法，贯彻研究型审计思维，开展软件供应链基础管理审计，总结出一套贯彻审前、审中、审后切实可行的研究型审计实践方法。

（一）审前阶段，开展“4+1”审前研究工作，细化拓展审计框架

结合供应链管理实践，研究宏观政策与公司发展战略。为全面落实上级监管部门要求，服务公司转型升级大局，在宏观上把握审计对象及领域的共性、趋势性问题。审计组的审前第一项研究工作是对国内外的政策、标准，以及公司上层战略规划等开展研究。工信部《“十四五”软件和信息技术服务业发展规划》提出，软件是新一代信息技术的灵魂，是数字经济发展的基础，是制造强国、网络强国、数字中国建设的关键支撑。软件拓展数字化发展新空间，新发展格局赋予产业新使命，软件定义赋能实体经济新变革，开源重塑软件发展新生态。此外，对国内外政策和标准研究发现当前软件供应链主要聚焦在安全及合规两个方面，安全方面主要包括对供应链安全审查、软件供应链攻击、代码安全、软件物料清单SBOM、开源安全、软件供应商安全能力等；合规方面主要集中在软件知识产权、开源知识产权和法律合规、开源出口管制等。审前开展政策理论研究为识别审计重点提供了方向性指引，准确定位审计重点，服务公司发展大局，助力高质量发展。

分析供应链安全案例，识别安全风险敞口。除了研究宏观政策与发展战略，审前工作还需要开展软件供应链典型案例剖析，从微观视角分析审计对象及领域的具体风险敞口，进一步细化软件开发、交付、使用过程的各环节，深入分析软件供应链安全风险敞口。审计组针对30余起典型软件供应链攻击事件进行剖析，发现过往安全事件主要集中在研发工具及环境管理、软件代码管理、开源软件管理以及软件供应商管理领域，因此将以上4个易受攻击的风险敞口作为本次审计关注的重点。审前通过开展软件供应链典型案例剖析，深入了解被审计单位，识别审计重点领域，聚焦核心风险。

梳理主要制度，加强顶层设计。为全面了解被审计单位的制度要求，审计组全面梳理公司主要制度，自上而下进行集团省内制度对比，通过对比国家政策及标准要求，梳理共90余个制度文件，发现软件供应链制度体系顶层设计待加强，软件供应链关联制度众多且较为分散，核心风险领域制度有待完善。

了解供应链现状，防范重要风险。为充分了解被审计单位的发展现状、内部控制及其执行情况，分析研判主要特征、突出问题、重大风险，需自下而上开展供应链现状摸排，包括系统摸排、供应商摸排与剩余风险摸排。系统摸排通过全面梳理信息系统地图、认证系统、备案系统等平台，整理补充云南移动软件系统清单，通过多渠道交叉验证的方式提升了系统梳理的准确性和质量，并且合理确定系统抽样原则。由于云南移动的软件供应链主要由供应商负责搭建，因此在审前阶段对软件供应商开展摸排，识别分析系统开发运维服务等情况，为审中对供应商进行访谈及检查做好前置分析。最后，通过对省内软件类项目从立项到下线整个生命周期的管理流程进行梳理，识别出剩余风险敞口较大的环节予以重点关注。

通过审前分析研究，审计组识别聚焦软件供应链核心风险，结合省内安全管理实际情况，编制和完善新的审计框架。依照拓展后的审计框架，聚焦核心领域，对公司软件供应链基础管理现状开展审计核查。该审计框架一方面充分考虑到组织机构的完整性、制度的健全性与软件正版化、备案、软件资产的梳理，另一方面考虑到了战略和管理的前瞻性，提出软件供应链四大核心管理领域：软件供应商管理、软件研发工具及环境管理、开源软件管理和软件代码管理，以确保审计框架发挥应有的效力。

（二）审中阶段，聚焦软件供应链核心领域管理，挖掘共性成因

检查机制有效性，保证制度合规性。审中阶段在集团公司的审计框架基础上，全面采用研究型审计方法，审查公司软件供应链的基础管理情况，深入了解公司的软件规模与管理现状，检查公司在软件采购、开发、交付、上线、运维等环节相关管理机制的健全性、执行有效性，以及国家和公司在网络信息安全方面的要求的贯彻情况。

发掘管理堵点，分层探求原因。依照拓展后的审计框架，审计组聚焦核心领域，对公司软件供应链基础管理现状开展审计核查，揭示公司在软件供应商管理、软件研发工具及其环境管理、开源软件管理、软件代码管理、软件安全运营管理、组织管理及机制建设等领域存在的提升改进点。在深入研究问题成因方面，通过系统地分析和梳理，逐步深入挖掘问题的直接原因、深层原因、根本原因，揭示问题现象背后公司对于软件供应链基础管理的重要性及潜在风险存在认识不足的情况。例如，审计组发现公司需要加强供应商服务连续性管理，目前公司对具有机构集中度、外资介入、缺少信息安全管理认证特点的供应商的持续监控仍有待加强。造成这一问题的直接原因为相关部门对供应商的管控程序和要求有待完善。而该问题的深层原因为公司对软件开发服务供应商的管理策略尚需细化。造成这一问题的根本原因为公司需进一步加强软件供应链风险的宣传和关注。

（三）审后阶段，归集痛点和需求，提出软件供应链针对性建议，沉淀审计成果

归集痛点需求，明确改进方向。在软件供应链管理方面，存在一系列痛点和需求，需要着重关注和解决。首先，软件供应链管理要求存在优化的空间，需要建立更清晰的管理制度和流程。其次，开发优化需求量大，上线前的测试和评估工作需要更加注重质量控制。再次，软件供应链中的风险管理依赖上线后的安全管控。此外，需要更完善的供应商管理机制。最后，软件资产统一管理和定期梳理有待加强。整体看来，解决这些痛点和需求对于改进软件供应链管理的有效性和安全性至关重要，有助于提升公司的整体效率和稳定性。

提出改进建议，总结实践方法。审计的目的不仅在于识别和揭示问题，更重要的是通过深入分析问题的本质，提出行之有效的改进建议，从而促使公司提高管理水平。在审后阶段，审计组秉承研究型审计方法，提出切实可行的改进建议，如，加强软件供应链组织及制度顶层设计，实施软件供应商管理分类分级管理，提升软件代码安全管理等，推动审计问题整改，确保问题得到全面解决。审计组注重审计成果沉淀并深化运用，着重在以下方面开展工作：一是注重审计项目成果沉淀，形成了“软件供应链审计制度库、软件供应链典型案例库、软件供应商信息库”等审计成果；二是促进研究型审计成果转化，将研究型审计实践经验进行提炼总结，固化形成研究型审计操作指引，进一步为其他审计项目赋能，切实运用研究型审计理念指导审计质量、效率和水平提升。

三、研究型审计在实践案例中的成效与启示

软件供应链基础管理审计项目是云南移动内部审计在实践中深入做实研究型审计的初步探索，取得了显著的成效，证明了研究型审计理念对于实现审计高质量发展具有重要指导意义，通过实践案例获得以下几点启示。

（一）始终秉持并贯彻研究型审计理念

研究型审计理念强调以严谨的研究态度进行审计，通过持续地探索和创新，不断提升审计工作的质量和效率。审计人员不断追踪最新的审计理论和研究成果，以实时更新审计方法和技巧，这一过程不仅是研究型审计工作的重要环节，也是审计人员专业素质不断提升的体现。研究型审计理念通过更深入的剖析、更广泛的数据应用以及更综合的方法，不仅提升了审计人员的专业胜任能力，还为企业提供了更为全面和深刻的审计建议，有助于企业更好地管控风险、优化运营和实现可持续发展。

（二）倡导最佳实践，积极落实审计成果

审计成果的落地应用能够助力组织参照行业标准与规范，提升治理及运营能力，将审计成果有效落实是实现最佳实践的核心环节。审计人员既要提供精准的审计报告与建议，还需与被审计单位保持积极沟通，制定更有针对性的改进措施并推动实施。倡导并践行最佳实践，致力于将审计成果融入实际工作，这包括推动组织内部积极采纳审计建议，构建高效改进机制，注重将审计项目成果以制度库、案例库和信息库等形式沉淀，更致力于将研究型审计的实践经验提炼总结，确保问题得到根本解决，并持续提高审计工作质量。

（三）问题深层次分析，提高审计建议针对性

深入问题的核心，进行深层次分析，以精准度为目标，使审计建议更具针对性。这种分析方法旨在揭示问题的根本原因，并识别与之相关的关键因素。通过深刻理解根本问题，审计团队能够提供更具体、更有效的建议，以解决问题的根本。这种深入分析的方法有助于提高审计建议的实际可行性和针对性，确保问题得到彻底解决，为组织的改进和提升提供更有力的支持。

（四）通过实践不断完善研究型审计理论

审计人员在审计项目实践过程中，不可避免地会遇到各种复杂的情况和问题，这些情况需要审计人员根据实际情况进行灵活应对和调整，不断补充完善研究型审计方法，这一过程也是研究型审计的一个重要特点，是其不断适应市场变化和业务需求的重要保障。研究型审计方法与审计项目形成互补，这种实践中的反馈和调整使得研究型审计方法更加贴近实际需求，更加具有针对性和可操作性。

主要参考文献

[1]寇明风，王翰博.辽宁软件产业发展路径探析：趋势、定位与路径[J].辽宁经济， 2022（2）：7-12

[2]刘巍，潘欣怡，叶宇航.在统筹发展和安全中发挥内部审计作用：构建中国移动基于目标的审计分类监督模型[J].中国内部审计， 2022（5）：28-34

[3]苗培让.研究型审计视角下内部审计发展路径探析[J].国际商务财会， 2024（4）：71-74+79

[4]翟国森，冯丽英.对研究型审计的几点思考[J].财务与会计， 2022（12）：80-81